Eu tenho um servidor executando o CentOS 6 com o Bind 9.8.2 que não está resolvendo o DNS para 1 host específico, que nem mesmo é uma das zonas que esse servidor hospeda. Todas as outras consultas funcionam bem, incluindo consultas para outros hosts no domínio com o qual estou tendo problemas.
Do servidor problemático
$ dig www.example.com
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.47.rc1.el6 <<>> www.example.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 6139
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;www.example.com. IN A
$ nslookup -debug www.example.com
Server: x.x.x.x
Address: x.x.x.x#53
------------
QUESTIONS:
www.example.com, type = A, class = IN
ANSWERS:
AUTHORITY RECORDS:
ADDITIONAL RECORDS:
------------
** server can't find www.example.com: SERVFAIL
Server: x.x.x.x
Address: x.x.x.x#53
$ dig en-es.example.com
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.47.rc1.el6 <<>> en-es.example.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4755
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 4, ADDITIONAL: 1
;; QUESTION SECTION:
;en-es.example.com. IN A
;; ANSWER SECTION:
en-es.example.com. 600 IN A z.z.z.z
De outros servidores (na mesma rede e fora dela)
$ dig www.example.com
; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7_2.3 <<>> www.example.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58315
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.example.com. IN A
;; ANSWER SECTION:
www.example.com. 324 IN CNAME my.cname.net.
my.cname.net . 20 IN A y.y.y.y
Como faço para rastrear por que essa consulta resulta em um SERVFAIL, permitindo a próxima etapa lógica, corrigindo o problema.
O problema foi resolvido hoje, descobri que era um problema com os arquivos de zona do domínio em questão. Aparentemente, o cliente teve modificações que envolviam o que eles chamavam de "contêineres" (supondo que fosse delegação de zona) e, após algumas verificações de integridade do DNS, alguns erros estranhos foram retornados. Eles reverteram suas mudanças e tudo voltou ao normal. Parece que eles delegaram o subdomínio www, mas não adicionaram os registros necessários à autoridade adequada. Acredito que tenha causado algum tipo de problema de DNSSEC que nosso servidor não resolveria.